Le trafic en direction de notre site a subitement quadruplé par rapport à ce qui était jusque-là notre maximum. Les routeurs étaient utilisés à 100 %.” C’est en fin mai 2001 que Dan Agronow a vu Weather.com, le site météo américain dont il est vice-président des opérations, subir une attaque par déni de service distribué (DDOS ?” Distributed Denial of Services). Sans pouvoir rien faire. “Nous avons dû contacter notre hébergeur pour qu’il redirige notre trafic vers d’autres routeurs. Au final, il a été quasiment impossible d’accéder à notre site web pendant sept heures.”Depuis deux ans, chaque responsable de site vit dans l’inquiétude d’une attaque par DDOS. Quant aux défenses qui commencent à apparaître, aucune ne peut prétendre apporter une solution autrement qu’à court terme. La menace se concrétise, en effet, assez facilement en attaque.
Des agressions très faciles à mettre en place
Le hacker commencera par prendre le contrôle à distance d’ordinateurs mal sécurisés. Une fois qu’il se sera constitué une armée suffisamment importante, il lui ordonnera d’étouffer un site web ou un serveur en lui envoyant tant de requêtes qu’il en deviendra inaccessible. Un danger pour Weather.com, site utilisé aussi bien par des particuliers que par des professionnels. Une catastrophe pour Cloud-Nine, un fournisseur d’accès internet britannique qui a dû accélérer sa mise en vente après avoir subi une attaque par DDOS.Le tout sans grande raison. Sven Dietrich est membre de l’équipe technique du Cert (Computer Emergency Response Team), un organisme de sécurité internet américain. Il a constaté, en 1999, qu’un de ses ordinateurs avait été utilisé pour ce qui devait être la première attaque massive par DDOS de l’histoire de l’informatique. “Les pirates veulent avant tout pouvoir se vanter de leurs exploits, explique-t-il. En cela, le déni de service est très pratique, car extrêmement simple à mettre en place. Il suffit, en effet, de disposer d’un mécanisme permettant de récolter un maximum d’agents ?” c’est-à-dire de machines dont les failles de sécurité n’ont pas été bouchées ?”, dont le pirate va prendre le contrôle et qui lui serviront de relais pour ses attaques. Ce type de logiciel est facile à trouver quand vous savez où chercher…”La rumeur veut que des pirates pro-palestiniens aient attaqué des sites d’entreprises américaines ayant des intérêts en Israël ou que la guérilla zapatiste ait utilisé le DDOS pour handicaper les sites web du gouvernement mexicain. Mais, pour Sven Dietrich, les pirates pratiquant le déni de service sont avant tout des “script kiddies”?” des “gamins aux scripts”?” en pleine crise d’adolescence s’amusant avec les outils qu’ils trouvent sur internet.
De plus en plus de moyens aux mains des hackers
Les techniques des pirates s’améliorent en permanence. Répondant aux noms de Stacheldraht, Trinoo ou TFN, leurs outils tirent profit de chaque défaut de conception des protocoles liés à IP, de TCP à UDP en passant par ICMP (Internet Control Message Protocol). Les cibles ?” en particulier les agents ?” varient aussi. Depuis l’an 2000, selon le Cert, de plus en plus d’outils de DDOS permettent de prendre le contrôle non seulement de machines Unix, les agents habituels, mais aussi de machines Windows. De quoi créer des armées d’agents bien plus importantes…Les techniques utilisées par les hackers pour se camoufler ne cessent, elles aussi, de progresser. “Avec Trinity, les agents rendent compte directement à un canal IRC [canal de dialogue en ligne Internet Relay Chat ?” NDLR], poursuit Sven Dietrich. Le pirate n’a alors plus besoin de prendre contrôle à distance de l’agent. Il suffit d’aller sur son canal IRC pour lui donner des ordres. Il y a une telle activité sur IRC qu’il est difficile de distinguer les discussions des commandes.”Face à la menace DDOS, des parades commencent à se développer. Des sociétés comme Entercept, Okena et Tripwire proposent des dispositifs permettant d’éviter à une entreprise que ses serveurs jouent le rôle d’agent pour une attaque par déni de service. Plusieurs sociétés, comme Asta, Mazu ou CS3, proposent, elles, des produits censés limiter les dégâts.La plus prometteuse semble aujourd’hui Arbor Networks, une start up du Massachusetts financée en partie par Cisco. “L’entreprise cliente doit placer au c?”ur de son réseau un contrôleur qui évaluera le trafic “normal”, développe Ted Julian, Chief Strategist de la société. Elle disposera ensuite des collecteurs aux points d’entrée de son réseau. Notre algorithme se chargera alors de déceler les anomalies du trafic, comme une surutilisation d’un protocole souvent employé pour le DDOS.” Une fois l’attaque décelée, les produits Arbor mettent en place des filtres ne laissant passer que certains des paquets, voire aucun. “Il est possible de ne limiter le trafic que sur quelques points d’entrée, et avec certaines adresses. De plus, nous constatons que les attaquants, en cas d’échec, arrêtent rapidement”, remarque Ted Julian.
Détecter une attaque est souvent difficile
Pas de solution miracle, toutefois. Arbor établit son algorithme de détection en fonction des attaques par DDOS connues. Il sera donc surpris par une agression d’un nouveau type. Mais ces produits permettent au moins de la détecter. Prendre conscience d’une attaque par DDOS est en soi une tâche difficile. Un manque de fiabilité d’infrastructures web et une surcharge d’activité parfaitement naturelle suffisent à expliquer nombre d’indisponibilités de sites. De plus, il ne s’agit, dans le cas d’Arbor, que d’une technologie pour les gros fournisseurs d’accès internet et les entreprises fortunées, le moindre contrôleur avoisinant les 150 000 euros.A l’exception des grands comptes, donc, les entreprises devront d’abord compter sur la capacité de leur fournisseur d’accès à rediriger le trafic en cas d’attaque par déni de service. La protection contre le DDOS pourrait d’ailleurs bien devenir un argument marketing pour les fournisseurs d’accès internet dans les prochaines années. Toutefois, à l’instar des auteurs de virus, les pirates auront toujours une longueur d’avance. Et ces deux catégories d’agresseurs se rejoignent encore sur un autre plan. “De plus en plus de virus, comme Code Red, intègrent des dispositifs de prise de contrôle des serveurs et des PC, précise Ryan Walters, responsable de la division Security Resource Development de Symantec. Les mondes des antivirus et de la détection de vulnérabilité se rapprochent pour empêcher les ordinateurs de devenir des agents de DDOS.” Une bataille pour l’instant perdue par la sécurité au profit des amateurs de virus et d’attaque par déni de service distribué.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.